ブログ

EKS Anywhere と NGINX によるコンテナ セキュリティの強化

デイヴ・モリッシーのサムネイル
デイブ・モリッシー
2023年11月7日公開

コンテナはクラウドに旋風を巻き起こし、現代のapplication開発および展開戦略に不可欠なものとなっています。 コンテナは、クラウドの潜在能力を最大限に引き出して革新的なイノベーションを推進し、組織が可用性、拡張性、自己修復性に優れたワークロードを運用できるようにします。

クラウドホスト型 Webapplicationサーバーはさまざまな方法でデプロイできますが、Kubernetes などのオーケストレーション ツールを使用してコンテナー化されたapplicationsをデプロイすることがますます一般的になりつつあります。 Kubernetes への移行により、企業はapplicationsを最新化し、IT インフラストラクチャを合理化して長期的な移植性と回復力を実現できます。 約 96% の企業が Kubernetes を使用しているか、導入を検討しています。1 おそらく、あなたのものもこの大多数の中に含まれるでしょう。

セキュリティは魔法のように実現するものではありません

運用に影響を与えるセキュリティ環境の変化により、CI/CD パイプライン全体にわたるセキュリティ管理、SecOps、エンジニアリング、DevOps 間の連携の重要性が浮き彫りになっています。 セキュリティはもはや CISO と SecOps チームだけの責任ではありません。 DevOps チームは現在、開発ライフサイクルのあらゆる段階でセキュリティ対策が統合されるように、セキュリティ ポリシーの受け入れ、テスト、展開において重要な役割を果たしています。 コンテナのセキュリティに関する懸念に対する認識が高まるにつれ、組織の 67% が Kubernetes のセキュリティに関する懸念により導入が遅れたり、遅くなったりしていると報告しています。2

最初からセキュリティを優先することで、組織のapplication開発および展開プロセス全体にわたって包括的かつ堅牢なアプローチが確保されます。 組織は次のような分野に戦略的な投資を行っています。

  • 貴重なビジネス資産の保護
  • 規制要件を満たす
  • 事業継続性の確保
  • 顧客の信頼を維持する
  • 違反コストの削減または排除

NetOps、SecOps、DevOps を橋渡しする NGINX Plus と F5 のソリューションは、コラボレーションを効率化し、エンド ユーザーにコードにわたるapplicationサービスを提供します。

Amazon Elastic Kubernetes Service (EKS) による責任の共有 (どこでも)

このセキュリティ方程式の正しい側を把握し、その状態を維持することが重要です。 たとえば、Amazon Web Services (AWS) は、セキュリティを最も重視する組織の厳しい要件を満たすことに重点を置いています。 この点に関して、AWS はクラウドセキュリティとクラウド内のセキュリティの両方を網羅する責任共有モデルに従います。

クラウドのセキュリティ

一方、AWS は、AWS クラウド内の AWS サービスをサポートするインフラストラクチャを保護する責任を負います。 これには、Amazon EKS の Kubernetes コントロールプレーンが含まれ、AWS セキュリティ対策の有効性を確保するために定期的なサードパーティ監査が実施されます。 Amazon EKS Anywhere は、顧客が管理するインフラストラクチャ上で Kubernetes クラスターを作成および運用できる AWSハイブリッド クラウドサービスであり、Kubernetes を起動、実行、拡張するための最も信頼できる方法を提供します。

切断された (エアギャップ) 環境を含むいくつかの柔軟な導入オプションを備えた Amazon EKS Anywhere では、次のことが可能です。

  • デフォルトのコンポーネント構成と自動化されたクラスター管理ツールを使用して、オンプレミスの Kubernetes 管理を簡素化します。
  • 自己管理型 Kubernetes バージョンのテストと管理にかかる労力を削減します。

クラウドのセキュリティ

一方、顧客は、Amazon EKS コントロールプレーンと顧客の仮想プライベートクラウド間のトラフィックのセキュリティグループを含むデータプレーンの構成、ノードとコンテナの管理、ノードのオペレーティングシステムやその他の関連applicationソフトウェアの保守など、さまざまな運用面の責任を負います。 さらに、お客様は、ネットワーク制御の設定と管理、プラットフォーム レベルの ID とアクセス管理の処理、データの機密性、会社の要件、および関連する法律や規制の遵守の責任を負います。

NGINX Plus を含む F5 ポートフォリオは、自動化、セキュリティ、パフォーマンス、および洞察機能で構成されており、 AWS のお客様は、コストを削減し、運用を強化し、ユーザー保護を優先する適応型applicationsをクラウドで開発できます。

プロアクティブな脆弱性管理によりハイブリッド クラウドのセキュリティ体制が向上

ベースライン環境を設定することは、セキュリティ体制を確保するための優れたスタートですが、ソフトウェア環境は依然として脆弱性に陥りやすく、高度な攻撃にさらされています。 applicationsやインフラストラクチャに対するこれらの脆弱性や攻撃を追跡し、それを軽減することは、面倒で時間のかかる作業になる可能性があります。

組織の 30% が、コンテナおよび Kubernetes 環境の最大の懸念事項として脆弱性を挙げています。3 F5 NGINX Plus と F5 NGINX Ingress Controller は、こうした懸念を軽減するために、クラウドネイティブで使いやすいリバース プロキシ、ロード バランサ、API ゲートウェイを提供し、脆弱性をより迅速かつ容易に解決できるようにします。

ハイブリッド コンテナ ワークロードをどこでも安全に実行

Amazon EKS の利点をオンプレミスのインフラストラクチャに拡張する Amazon EKS Anywhere を組み込むことで、組織はクラウドとオンプレミスの両方の環境で Kubernetes ワークロードを一貫して安全に実行する柔軟性を獲得し、シームレスなapplicationの展開と管理が可能になります。

詳細については、 f5.com/awsをご覧ください。


出典:

1 CNCF 年次調査 2021 、Cloud Native Computing Foundation、2022 年 2 月

2,3 Red Hat Kubernetes セキュリティレポート、Red Hat、2023 年 4 月